Auteur Topic: Nas vermoedelijk gehackt  (gelezen 6082 keer)

Offline Verlengsnoer

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 72
Nas vermoedelijk gehackt
« Gepost op: 17 september 2016, 23:30:20 »
Hoi,

Ik heb het idee dat mijn nas gehackt is.
Ik draai een website via de nas (dsm 4.2- 3256) en het is nu al vaker voor gekomen dat er ongevraagd reclame of zelfs als je op de site gaat je een melding (google chrome) krijgt van malware gedetecteerd en dan stuurt ie je naar een compleet andere site..

Als ik dat laat geeft hij over enkele dagen een php parse error,
corrigeer ik dat, dan komt die reclame weer binnen 2 dagen naar voren ....

Hoe kan dit??

De bekende klachten omtrent een gehackte nas heb ik niet, kan gewoon inloggen, hij is niet traag, en cpu verbruik schommelt alleen wanneer iemand op de site kijkt, verder geen rare dingen.

hoor het graag of jullie duidelijkheid kunnen geven of dit een teken is van een gehackte nas (waarsch iemand die bitcoins wil genereren) of dat het wellicht iets anders is.

Ohja misschien ook belangrijk te melding, een volledige virus scan gedaan (Helaas gaat die scanner op dsm 4.2 niet verder dan defenities van 2013) maar geeft geen virussen

alvast bedankt
  • Mijn Synology: DS209+
  • HDD's: 1x ST40GB 1x WD 3TB
  • Extra's: 1 GB ram

Offline Hutje

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 202
  • -Ontvangen: 221
  • Berichten: 1.811
Re: Nas vermoedelijk gehackt
« Reactie #1 Gepost op: 18 september 2016, 00:24:18 »
Op je NAS zelf hoeft geen malware of virus te staan.
Het is heel goed mogelijk dat alleen je website is gehackt.
Beetje zinloos om een virusscanner er dan nog op te laten draaien als ie na 2013 geen updates meer heeft kunnen binnenhalen.
Er is in die 3 jaar exponentieel meer 'ellende' bijgekomen.
Je kunt het beste gewoon op pc met een up-to-date AV pakket je gedeelde map met je website scannen.

DS1515+  [3x 8TB + 1x 4TB + 1x 3TB]  8 GB DDR3 DSM 6.1.7-15284 Update 3
DS1512+  [3x 4TB + 2x 2TB]  4 GB DDR3 DSM 6.1.7-15284 Update 3
DS411j     [3 x 2TB SHR] DSM 6.1.7-15284 Update 3
DS211j     [TEST-NAS] DSM 6.1-15101
RT1900    [AP-mode] SRM 1.2-7742
UPS          APC Back-UPS ES 700G

Offline Verlengsnoer

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 72
Re: Nas vermoedelijk gehackt
« Reactie #2 Gepost op: 18 september 2016, 00:34:05 »
Duidelijk,
Maar inderdaad omtrent die virus scanner .. dat helpt niet .

Maar als hij gehackt zal zijn, dan zou in mijn geval Avast in de site lijkt mij ook niets vinden.


Laat ik het even zo zeggen, hij geeft aan wanneer de parse error in beeld komt, dat elke keer iets met lijn 109 van de index.php file is van de template...

Die file heb ik momenteel weer een backup overheen geschreven, en in lijn 109 stond geks wat me opviel..
Dus momenteel helpt scannen over een gedeelde map waarschijnlijk niet. maar ga het proberen

Mocht het probleem terug komen dan zal ik zeker op dat moment ook de gedeelde map eens scannen, en zien of daar uit komt.

Maar steld er komt niets uit, hoe kan het dan steeds dat als je op de site komt dat hij plots ca 6 linken voorbij gaat tot hij op een willekeurige reclame site komt of malware site komt wat niks met mijn site temaken heeft?

hoor het graag, en jullie horen de scan resultaten :)


Update:

34210 bestanden gescand, 0 infecties
  • Mijn Synology: DS209+
  • HDD's: 1x ST40GB 1x WD 3TB
  • Extra's: 1 GB ram

Ben(V)

  • Gast
Re: Nas vermoedelijk gehackt
« Reactie #3 Gepost op: 18 september 2016, 09:25:57 »
Scannen van de shared files vanaf een pc is zinloos.
Gezien het feit dat het probleem steeds terugkeert als je het verwijdert hebt is een draait er een maleware op je NAS en die zit in de system partitie van je NAS waar je vanaf je pc niet zo maar bij kunt.
De vraag is ook nog of een malware scanner voor windows iets kan vinden in een Linux executable.
Je zou nog iets als ISPProtect kunnen inzetten(free trail) om te kijken of alleen je webite deel besmet is, maar denk dat die ook niets vind
https://ispprotect.com/

Als dat het geval is zit het zeker in je system partitie en is de beste oplossing DSM er opnieuw opzetten.
Gelukkig kan dat zonder je data kwijt te raken.


Ps het kan ook nog op je PC zitten.
Download de free versie van malwarebytes naar je PC en draai die eens.
https://nl.malwarebytes.com/mwb-download/
(Zou iedereen met een PC regelmatig moeten doen)



Offline Verlengsnoer

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 72
Re: Nas vermoedelijk gehackt
« Reactie #4 Gepost op: 18 september 2016, 12:54:30 »
Beide met 0 resultaat :)
dus dat zal het niet zijn..

Zal nog een scan doen wanneer het probleem weer terug keert (wat tussen nu en 3 dagen waarsch is)
en zullen zien wat er uit komt,

Als er niets uit komt, hoe kan ik dan dsm her installeren zonder dat de date en evt database verloren raakt?
En wat kan ik daarna beste doen om evt een hack aanval tegen te gaan? (de auto blokkeren staat aan op 2 foute logins per 60 minuten

Maar zie geen meldingen dat mensen proberen in te loggen, dat heb ik wel op mn ds414 vanaf dsm 5 tot heden (maar daar heb ik verder geen issue's mee)

hoor het graag :)
  • Mijn Synology: DS209+
  • HDD's: 1x ST40GB 1x WD 3TB
  • Extra's: 1 GB ram

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: Nas vermoedelijk gehackt
« Reactie #5 Gepost op: 18 september 2016, 14:38:07 »
Als iemand je website kan aanpassen, is het geen virus. Als er ergens code op je nas staat welke je website aanpast, kan dit pas als de code wordt aangeroepen. Code kan staan in de root van de website of in de database welke gebruikt wordt voor de website.
Ook is het mogelijk dat de pc welke je gebruikt besmet is en je daarmee je website besmet.
Just my 5 cents.
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Verlengsnoer

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 72
Re: Nas vermoedelijk gehackt
« Reactie #6 Gepost op: 18 september 2016, 14:45:37 »
Ik zie niks byzonders in de root van de website,
Ook geen rare tabels in de database,

Maar goed, het kan wel ergens tussen gezet zijn waardoor het uiteraard niet 1,2,3 opvalt..
Helaas is een oude database inladen gee optie omdat die heel veel data mist :)

normaal maak ik wekelijks een backup van de database.. maar dit heb ik niet gedaan laatste tijd,
helaas heb ik ook nog geen optie in de syno apps gevonden die wekelijks enkel een backup van de DB maakt :)
  • Mijn Synology: DS209+
  • HDD's: 1x ST40GB 1x WD 3TB
  • Extra's: 1 GB ram

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Nas vermoedelijk gehackt
« Reactie #7 Gepost op: 18 september 2016, 16:00:08 »
Hyperbackup kan gewoon elk uur een backup van de web-share maken + applicaties. Als je dan genoeg versies bewaart, kun je zo een jaar terug in de tijd nog data terugzetten. (Moet je wel upgraden van DSM 4.2)

  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Verlengsnoer

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 72
Re: Nas vermoedelijk gehackt
« Reactie #8 Gepost op: 18 september 2016, 16:11:26 »
Helaas kan de ds209+ niet meer verder worden geupdate :)

Goed het probleem is terug ....
Scan uitgevoerd... 46 infecties gedetecteerd.
waarvan 90% PHP/CryptMailer.A

Is het verstandig om de bestanden te wissen? het zijn allemaal bestanden met cijfers er achter.. lijken niet op normale joomla files..
  • Mijn Synology: DS209+
  • HDD's: 1x ST40GB 1x WD 3TB
  • Extra's: 1 GB ram

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Nas vermoedelijk gehackt
« Reactie #9 Gepost op: 18 september 2016, 16:22:25 »
Blijkbaar werk je dus met een, eveneens verouderde, Joomla versie voor je website? Hier zitten nogal wat lekken in waardoor het makkelijk te hacken is. En dat zal nu gewoon keer op keer opnieuw gebeuren.
Je zult toch op zoek moeten naar een methode om naar een nieuwe Joomla versie te upgraden.

Offline Verlengsnoer

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 72
Re: Nas vermoedelijk gehackt
« Reactie #10 Gepost op: 18 september 2016, 16:26:25 »
De files zijn verwijderd, de site werkt nog zoals het hoort, dat scheeld een hoop ellende...
En ja gebruik nog de oude joomla 1.5 ivm een template die niet gemaakt is voor 2.5 en hoger :)

Evenals php 5.3 en lager zijn kwetsbaar..

Maar is er geen optie om het een tijdje tegen te gaan? door andere wachtwoorden bijv of ja geen idee :)

Het gekke is ook, de syno log geeft ook niks aan dat er iemand "ingelogd" heeft en geeft evenals niet aan dat er bestanden zijn geupdate...

Hoe is dat mogelijk?? normaal logd hij alles, maar kennelijk wat een hacker doet niet
  • Mijn Synology: DS209+
  • HDD's: 1x ST40GB 1x WD 3TB
  • Extra's: 1 GB ram

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Nas vermoedelijk gehackt
« Reactie #11 Gepost op: 18 september 2016, 16:29:09 »
Bij zo'n lek hoef je waarschijnlijk niet eens in te loggen om data te kunnen veranderen of toe te voegen op een website. Het lek kan juist het omzeilen van de inlog zijn.

In zijn algemeenheid moet alles wat aan het internet hangt altijd up to date zijn. Het beste is om websitesoftware binnen 72 uur te updaten. En als iets niet meer ondersteund wordt: trashen
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Verlengsnoer

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 72
Re: Nas vermoedelijk gehackt
« Reactie #12 Gepost op: 18 september 2016, 16:41:40 »
De joomla versie updaten is wel mogelijk gezien sowiezo joomla 2.5 (weet niet zeker of 3 ook nog werkt) werkt op PHP 5.3
Het is alleen niet meer mogelijk de nas te updaten,

Maar deze wordt waarschijnlijk binnenkort vervangen gezijn bij stroom uitval of reboot start hij niet door waardoor hij meerdere malen gereset moet worden voor hij normaal start :)
  • Mijn Synology: DS209+
  • HDD's: 1x ST40GB 1x WD 3TB
  • Extra's: 1 GB ram

Offline Hutje

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 202
  • -Ontvangen: 221
  • Berichten: 1.811
Re: Nas vermoedelijk gehackt
« Reactie #13 Gepost op: 18 september 2016, 16:52:08 »
Of de kosten nemen voor een nieuwe NAS en compleet 'vers' (lees=up-top-date) draaien,
of je website bij een hosting-provider onderbrengen.
Ik weet niet of jouw website gasten hiermee nu óók een risico lopen....?

DS1515+  [3x 8TB + 1x 4TB + 1x 3TB]  8 GB DDR3 DSM 6.1.7-15284 Update 3
DS1512+  [3x 4TB + 2x 2TB]  4 GB DDR3 DSM 6.1.7-15284 Update 3
DS411j     [3 x 2TB SHR] DSM 6.1.7-15284 Update 3
DS211j     [TEST-NAS] DSM 6.1-15101
RT1900    [AP-mode] SRM 1.2-7742
UPS          APC Back-UPS ES 700G

Offline Verlengsnoer

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 72
Re: Nas vermoedelijk gehackt
« Reactie #14 Gepost op: 18 september 2016, 17:48:42 »
na het lezen van wat de virus doet is dit niet schadelijk of overdraagbaar naar de bezoekers,
Het is gewoon meer ee nsoort "script" die geupload is waardoor er heel veel troep zoals reclame en links naar malware in beeld komen.

Zodra ze uiteraard in gaan op die reclame hebben ze natuurlijk wel wat tepakken maar niet die php cryptmailer :)

En dat is inderdaad ook de bedoeling om bij de nieuwe nas ook de site te moderniseren zodat hij met de tijd mee kan :)

Als de bezoekers er wel risico om liepen had ik nu wel al de CMS geupdate :) met een nieuwe template uiteraard :)
  • Mijn Synology: DS209+
  • HDD's: 1x ST40GB 1x WD 3TB
  • Extra's: 1 GB ram


 

gehackt??

Gestart door AnonymousBoard The lounge

Reacties: 4
Gelezen: 5908
Laatste bericht 31 mei 2009, 12:14:56
door AvSan
Gehackt server ds1512+

Gestart door RobertGCBoard Synology DSM 5.2

Reacties: 12
Gelezen: 4243
Laatste bericht 17 september 2015, 15:29:37
door Snipes
VERPLAATST: NAS gehackt?

Gestart door BirdyBoard Synology DSM algemeen

Reacties: 0
Gelezen: 541
Laatste bericht 16 februari 2022, 22:03:59
door Birdy
Webstation gehackt

Gestart door Patrick80Board Web Station

Reacties: 12
Gelezen: 7197
Laatste bericht 19 februari 2014, 23:14:30
door Patrick80
Vermoedelijk een bug?

Gestart door glennvBoard Surveillance Station

Reacties: 5
Gelezen: 884
Laatste bericht 24 januari 2021, 13:02:54
door NasiBal